Multi-Party Computation (MPC) cüzdan geliştiricisi Safeheron tarafından Cointelegraph'a sağlanan 3 Mart tarihli bir basın açıklamasına göre, belirli çoklu imza (çoklu imza) cüzdanları Starknet protokolünü kullanan Web9 uygulamaları tarafından kullanılabilir. Güvenlik açığı, dYdX gibi Starknet uygulamalarıyla etkileşime giren MPC cüzdanlarını etkiliyor. Basın açıklamasına göre Safeheron, güvenlik açığını gidermek için uygulama geliştiricileriyle birlikte çalışıyor.
Safeheron'un protokol belgelerine göre, MPC cüzdanları bazen finans kurumları ve Web3 uygulama geliştiricileri tarafından sahip oldukları kripto varlıklarını güvence altına almak için kullanılıyor. Standart bir multisig cüzdanına benzer şekilde, gerektirir her işlem için birden fazla imza. Ancak standart multisig'lerin aksine, blok zincirine konuşlandırılacak özel akıllı sözleşmeler gerektirmezler ve blok zincirinin protokolüne dahil edilmeleri gerekmez.
Bunun yerine, bu cüzdanlar, her bir parçanın bir imzalayan tarafından tutulduğu özel bir anahtarın "parçalarını" oluşturarak çalışır. Bir imza oluşturmak için bu parçaların zincir dışında birleştirilmesi gerekir. Belgelere göre, bu farktan dolayı, MPC cüzdanları diğer multisig türlerinden daha düşük gas ücretlerine sahip olabilir ve blockchain agnostiği olabilir.
MPC cüzdanları genellikle daha güvenli olarak görülür tek imzalı cüzdanlardan daha iyidir, çünkü bir saldırgan birden fazla cihazı tehlikeye atmadıkça onları genellikle hackleyemez.
Ancak Safeheron, bu cüzdanlar dYdX ve Fireblocks gibi Starknet tabanlı uygulamalarla etkileşime girdiğinde ortaya çıkan bir güvenlik açığı keşfettiğini iddia ediyor. Şirket basın açıklamasında, bu uygulamaların "bir stark_key_signature ve/veya api_key_signature elde ettiklerinde", "MPC cüzdanlarındaki özel anahtarların güvenlik korumasını atlayabileceklerini" söyledi. Bu, bir saldırganın emir vermesine, 2. katman transferleri gerçekleştirmesine, emirleri iptal etmesine ve diğer yetkisiz işlemlere girmesine izin verebilir.
İlgili: Yeni “sıfır değer transferi” dolandırıcılığı Ethereum kullanıcılarını hedefliyor
Safeheron, güvenlik açığının yalnızca kullanıcıların özel anahtarlarını cüzdan sağlayıcısına sızdırdığını ima etti. Bu nedenle, cüzdan sağlayıcının kendisi dürüst olmadığı ve bir saldırgan tarafından ele geçirilmediği sürece, kullanıcının fonları güvende olmalıdır. Ancak bunun, kullanıcıyı cüzdan sağlayıcısına olan güvene bağımlı hale getirdiğini savundu. Şirketin açıkladığı gibi, bu, saldırganların platformun kendisine saldırarak cüzdanın güvenliğini atlatmasına izin verebilir:
"MPC cüzdanları ile dYdX veya imzadan türetilmiş anahtarlar kullanan benzer dApp'ler [merkezi olmayan uygulamalar] arasındaki etkileşim, MPC cüzdan platformları için kendi kendine gözetim ilkesini baltalıyor. Müşteriler, önceden tanımlanmış işlem politikalarını atlayabilir ve kuruluştan ayrılan çalışanlar, dApp'i çalıştırma yeteneğini koruyabilir."
Şirket, güvenlik açığını gidermek için Web3 uygulama geliştiricileri Fireblocks, Fordefi, ZenGo ve StarkWare ile birlikte çalıştığını söyledi. Ayrıca dYdX'in sorundan haberdar olmasını sağladı, dedi. Mart ayının ortalarında şirket, uygulama geliştiricilerin güvenlik açığını düzeltmesine yardımcı olmak amacıyla protokolünü açık kaynak haline getirmeyi planlıyor.
Cointelegraph, dYdX ile iletişime geçmeye çalıştı, ancak yayınlanmadan önce bir yanıt alamadı.
StarkWare Ürün Başkanı Avihu Levy, Cointelegraph'a şirketin Safeheron'un sorun hakkında farkındalık yaratma ve bir düzeltme sağlamaya yardımcı olma girişimini alkışladığını belirterek şunları söyledi:
“Safeheron'un bu zorluğa odaklanan bir protokolü açık kaynak olarak sağlaması harika[…]Geliştiricileri, kapsamı ne kadar sınırlı olursa olsun, herhangi bir entegrasyonla ortaya çıkması gereken tüm güvenlik zorluklarını ele almaya teşvik ediyoruz. Buna şu anda tartışılmakta olan zorluk da dahildir.
Starknet 2. katmandır Ethereum protokolü sıfır bilgi kanıtları kullanır ağı güvenli hale getirmek için. Bir kullanıcı bir Starknet uygulamasına ilk kez bağlandığında, sıradan Ethereum cüzdanını kullanarak bir STARK anahtarı elde eder. Safeheron'un MPC cüzdanları için sızdırılmış anahtarlarla sonuçlandığını söylediği süreç budur.
Starknet, Şubat ayında güvenliğini ve ademi merkeziyetçiliğini geliştirmeye çalıştı. kanıtlayıcısını açık kaynak yapmak.
Kaynak: https://cointelegraph.com/news/multisig-wallets-vulnerable-to-exploitation-by-starknet-apps-says-developer-safeheron